如果U盘文件夹都是scr结尾,那一定要小心了!

想当年在大学的时候,很多同学们的U盘都被一个叫做autorun.inf的木马病毒困扰了很久,以至于后来网上专门出了专杀工具,各大安全公司也跟进对这个木马病毒做了查杀。这么多年过去了,一度以为U盘木马病毒基本绝迹了,但是我错了~~~

昨天媳妇因为工作的需要,插了U盘在我的电脑上工作。中途也没出现异常,等我插入自己的U盘准备工作的时候,突然发现电脑出现了情况:

问题症状

1、U盘的指示灯一直在闪烁,显示有数据在读取、写入。可是我并没有做相关的操作。
2、电脑比往常感觉异常的慢,但是我没有运行什么特别的程序。
3、U盘文件夹被隐藏了,出现了一个同样名字但是scr结尾的文件,这些非常可疑。
4、出现了.exe结尾的文件夹,这个也非常可疑。

如下图

MOONLIGHT木马病毒简介

在网上搜索了一番,只在一个叫做Trend Micro的网站(应该是一个国外的杀毒软件公司)的找到了比较详细的资料。这是一个名为WORM_MOONLIGHT.B的蠕虫木马病。(具体地址可以参考这里:https://www.trendmicro.com/vinfo/us/threat-encyclopedia/archive/malware/worm_moonlight.b)

具体危害细节

被感染的U盘,会把U盘文件夹隐藏,然后生成一个同样名字的程序,以scr或者exe结尾,并伪装成文件夹图标。该只要插在健康的电脑上,双击运行了scr结尾的文件夹,即会触发木马程序,感染电脑。随后所有插入电脑的U盘都会被感染

该木马程序通过用户双击src或者exe文件启动,会自动运行一连串的操作,开放电脑系统后门,盗取用户的隐私、密码等信息,而且都是在后台运行,十分的隐蔽。

关于这个蠕虫木马病毒的一些具体细节:

1、会让感染的电脑无法设置系统启动程序、无法查看隐藏文件、修改屏幕保护程序

2、会在系统盘里面生成一大堆的文件,比较有特征性的有下面的这些:

对比一下永恒君的电脑,很不幸都中招了

moonlighttxt文件

3、会自动修改注册表里面的好多内容,包括自动启动程序等等,包括上面提到的「无法设置系统启动程序、无法查看隐藏文件、修改屏幕保护程序」就是通过修改注册表实现的。

修改注册表

处理办法

根据自己的测试和网友的经验分享,大部分的杀毒软件都可以处理这个木马病毒,如360安全卫士、金山毒霸、微软的Security Essential等,都是比较简单的操作。需要提醒的是:

1、要把软件升级到最新版本,包括病毒库。
2、注意要先把电脑上的清理干净,再来清理U盘。
3、电脑上要至少要扫描内存、C盘这两个地方。

杀完病毒之后,还有一件事,把之前被隐藏的文件夹要找出来。具体这样操作:

在U盘内新建一个txt文件,打开后输入「attrib /s /d -a -s -h -r」。保存为bat文件,「右键单击 - 打开」,稍等一会,隐藏文件都出来了。

小结一下:U盘传播的木马病毒,绝大部分都是要通过用户双击点击才能触发启动。因而建议大家在使用U盘的时候,切记用「右键单击 - 打开」来操作打开文件夹
在本篇文章的MOONLIGHT木马例子中,如果是「右键单击 - 打开」来操作文件夹,而不是双击,木马就不会启动,也就无法感染电脑,进而就无法感染其他的U盘和电脑。

欢迎交流!




微信公众号:永恒君的百宝箱

个人博客:www.yhjbox.com

你可能感兴趣的:(如果U盘文件夹都是scr结尾,那一定要小心了!)